北京博望恒信智能系统工程有限公司
企业邮箱 | 加入收藏夹
搜 索: 
服务咨询热线:8610-63691986/7/8/9
服务与支持
Service & Support

地址:北京市西城区广安门内大街315号信息大厦A座805室
邮编:100053
电话:010-63691986/7/8/9
传真:010-63691986/7/8/9转228
公司:public@born-china.cn

 
技术支持当前位置:博望恒信->服务与支持
三甲医院等保建设概念、政策及流程
来源:北京博望恒信智能系统工程有限公司  时间:2018/5/10 9:42:12



一.等保概念及分级标准

【等保】全称信息安全等级保护,它是对信息和信息载体按照重要性等级分级别进行保护的一种工作。信息系统的安全保护等级根据信息系统在国家安全、经济建设、社会生活中的重要程度,信息系统遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度等因素确定。具体分为以下五个级别:

第一级:【自主保护级】信息系统受到破坏后,会对公民、法人和其他组织的合法权益造成损害,但不损害国家安全、社会秩序和公共利益。

第二级:【指导保护级】信息系统受到破坏后,会对公民、法人和其他组织的合法权益产生严重损害,或者对社会秩序和公共利益造成损害,但不损害国家安全。

第三级:【监督保护级】信息系统受到破坏后,会对社会秩序和公共利益造成严重损害,或者对国家安全造成损害。

第四级:【强制保护级】信息系统受到破坏后,会对社会秩序和公共利益造成特别严重损害,或者对国家安全造成严重损害。

第五级:【专控保护级】信息系统受到破坏后,会对国家安全造成特别严重损害。

二.卫生行业等保定级及建设工作要求

卫生部于201112月印发《卫生行业信息安全等级保护工作的指导意见》,文件要求以下重要卫生信息系统安全保护等级原则上不低于第三级:

1)卫生统计网络直报系统、传染性疾病报告系统、卫生监督信息报告系统、突发公共卫生事件应急指挥信息系统等跨省全国联网运行的信息系统;

2)国家、省、地市三级卫生信息平台,新农合、卫生监督、妇幼保健等国家级数据中心;

3)三级甲等医院的核心业务信息系统;

4)卫生部网站系统;

5)其他经过信息安全技术专家委员会评定为第三级以上(含第三级)的信息系统。三.等保建设的流程阶段及各个阶段的工作内容和产出

信息安全等级保护服务分为【定级备案咨询、安全建设规划、安全等级现状测评、信息系统安全整改咨询和信息安全等级测评】五个阶段,各阶段具体说明如下:

1、定级备案咨询阶段

通过定级对象分析、定级要素分析,初步确定系统保护等级,协助召开定级专家咨询会议,确定系统保护等级,协助撰写定级报告、协助联络公安机关,完成定级备案工作。

1.1定级备案咨询阶段的主要工作内容

1)系统梳理:网络拓扑调查;资产信息调查;服务信息调查;系统边界调查。

2)定级对象分析:业务类型分析;管理机构分析;

3)定级要素分析:业务信息分析;系统服务分析;综合分析;确定等级;

4)撰写定级报告:撰写定级报告;

5)协助定级备案:协助填写备案表;协助评审审批。

1.2定级备案咨询阶段的主要产出

《信息系统安全等级保护定级报告》

《信息系统定级备案表》

2、安全建设规划阶段

协助建设单位按照同步规划、同步建设、同步运行的原则,做好项目建设的安全规划。

2.1 安全建设规划阶段主要工作内容

1)安全域设计:根据系统定级情况,通过分析系统业务流程、功能模块,根据安全域划分原则设计系统安全域架构。通过安全域设计将系统分解为多个层次,为下一步安全保障体系框架设计提供基础框架。

2)确定安全域安全要求:参照国家相关等级保护安全要求,设计不同安全域的安全要求。通过安全域适用安全等级选择方法确定系统各区域等级,明确各安全域所需采用的安全指标。

3)安全保障体系方案设计:根据安全域框架,设计系统各个层次的安全保障体系框架以及具体方案。包括:各层次的安全保障体系框架形成系统整体的安全保障体系框架;物理安全、网络安全、服务器安全等安全技术设计,安全管理制度规划与设计。

2.2安全建设规划的主要产出

《信息系统安全等级保护建设规划方案》

3、安全等级现状测评阶段:

详实调研业务系统,了解系统边界、功能、服务范围、涉及部门、重要程度,全面进行差距分析和脆弱性评估;找出不足之处和安全漏洞,为等级保护体系设计提供客观依据;将根据之前的项目成果,制定合理安全管理措施和技术措施,形成等级化的信息安全保障体系。

3.1 安全建设规划阶段主要工作内容

1)等级保护差距分析:主要包括技术差距检测、管理差距检测和等保整体差距检测三部分。

技术差距检测将从技术上的物理安全、网络安全、主机系统安全、应用安全和数据安全五个层面进行;

管理差距检测将从安全管理机构、安全管理制度、人员安全管理、系统建设管理和系统运维管理等五个方面进行;

等保整体差距检测将基于技术、管理层面的标准合规性检测结果,根据国家等级保护标准,结合行业规范,针对标准的每项具体要求,从微观角度展开,深入分析信息系统与相应等级要求之间的差距,并从宏观角度对计算环境、区域边界和通信网络等方面对单元检测的结果进行验证、分析和整体评价,确认信息系统的整体安全防护能力有无缺失,是否能够对抗相应等级的安全威胁,为安全规划设计提供依据。

2)脆弱性检测:系统脆弱性检测涉及三个层面工作内容,包含整体的网络架构分析,服务器、网络与安全设备的配置检查,以及漏洞扫描检测工作。具体内容如下:

网络架构分析:网络现状识别;网络安全分析;

设备配置检查:服务器手工检查;网络设备手工检查;安全设备手工检查;

漏洞扫描检测:借助专业化漏洞检测工具,对检测范围内的交换机、路由器和服务器实施扫描,发现配置上存在的弱点,作为对手工检查工作所获取数据的补充,同时也是制定安全加固方案的重要依据。

3)渗透测试:针对信息系统的渗透测试将采取两种类型:第一类型:互联网渗透测试,是通过互联网发起远程攻击,比其他类型的渗透测试更能说明漏洞的严重性;第二类型:内网渗透测试,通过接入内部网络发起内部攻击,主要针对信息系统的后台管理系统进行测试。

4)源代码安全测试:依据CVECommon Vulnerabilities & Exposures)安全漏洞库、设备及软件厂商公布的漏洞,根据测试用例对信息系统的源代码进行安全扫描,对安全漏洞进行识别,给出整改建议

3.2 安全建设规划阶段的主要产出

《信息系统等级保护差距分析报告》

《信息系统脆弱性评估报告》

《信息系统渗透测试报告》

《信息系统源代码测试报告》

4、信息系统安全整改咨询阶段

依据脆弱性评估结果,弥补技术层面的安全漏洞,做安全加固与优化;建立健全信息安全管理制度;根据前期信息安全保障体系设计方案,指导系统运维方落实相关安全保障措施。

4.1信息系统安全整改咨询阶段主要工作内容

1)安全加固与优化:安全加固对象分为四类,即信息系统内的操作系统、数据库、中间件以及网络与安全设备。

2)等级保护制度建设:制定和完善与信息系统的安全保护等级相适应的配套管理制度,制度相关内容包括:a.安全管理机构;b.安全管理制度;c.人员安全管理;d.系统建设管理;e.系统运维管理

4.2信息系统安全整改咨询阶段的主要产出

《信息系统安全加固与优化方案》

《信息系统安全管理制度》

5、信息安全等级测评阶段

实施等级测评,以满足国家信息安全监管的相关政策要求。

信息系统安全等级测评主要检测和评估信息系统在安全技术、安全管理等方面是否符合已确定的安全等级的要求;对于尚未符合要求的信息系统,分析和评估其潜在威胁、薄弱环节以及现有安全防护措施,综合考虑信息系统的重要性和面临的安全威胁等因素,提出相应的整改建议,并在系统整改后进行复测确认,以确保整改措施符合相应安全等级的基本要求。

5.1信息安全等级测评阶段主要工作内容

1)按照《信息系统安全等级保护测评要求》,从以下方面进行等级测评:

技术安全测评:包括物理安全、网络安全、主机安全、数据安全、应用安全;

管理安全测评:包括安全管理制度、安全管理机构、人员安全管理、系统建设管理、系统运维管理;

综合测评:包括安全控制间安全测评、层面间安全测评、区域间安全测评、系统结构安全测评。

2)对每个保护类的子项给出测评结果并分别提出改进建议;

3)按照整改结果进行复测,出具等级测评报告。

5.2信息安全等级测评阶段的主要产出

《信息系统等级测评报告》

首页 | 关于我们 | 新闻中心 | 业务范围 | 经典案例 | 服务与支持 | 联系我们
版权所有:北京博望恒信智能系统工程有限公司 Copyright © 2015 born-china.com,All Rights Reserved.
地址:北京市西城区广安门内大街315号信息大厦A座八层805室  邮政编码:100053
京ICP备05017798号-1  Email:Public@born-china.cn